摘要: APT是近年信息安全圈爆炒的话题,很多安全公司推出了抗APT产品,这种产品到底是创新还是忽悠?亦或是SOC的新衣?且看华安信达网友们的讨论! phrack 11:31:11 现在据说有防apt的产品,究竟是神马 srxh2013 11:32:19 估计就是深度...
APT是近年信息安全圈爆炒的话题,很多安全公司推出了抗APT产品,这种产品到底是创新还是忽悠?亦或是SOC的新衣?且看华安信达网友们的讨论!
phrack 11:31:11
现在据说有防apt的产品,究竟是神马
srxh2013 11:32:19
估计就是深度DPI
大象 11:32:43
都在吹牛逼
coolmarke 11:33:04
应该是某些牛搞漏洞挖掘这么多年总结了一套理论做成的产品
phrack 11:33:21
培训时听RSA的学员讲的,他们公司就有,没记住名字
coolmarke 11:33:54
嗯,RSA被APT搞过
大象 11:34:04
很多公司就有,毕竟这市场已经在酝酿
大象 11:34:28
但都是在打擦边球
srxh2013 11:34:43
不是那个南京的那个叫翰海源的有么
晃晃悠悠 11:34:47
瀚海源的星云
coolmarke 11:34:58
任何安全产品必须有理论的支撑,否则很有可能是炒作
大象 11:35:00
虚
大象 11:35:12
最近测试了下,误报达80%
phrack 11:35:42
据说星云挺牛,不过它有个理论说是防御机制不能公开,一公开就完
小诚(luoye) 11:35:44
翰海园挺不错
srxh2013 11:35:46
APT产品厂家有哪些啊
waiting 11:35:48
听说fireeye在apt方面做的很出色
coolmarke 11:35:52
瀚海源算是不错的了
perlish 11:36:06
愿闻其详
coolmarke: 11:35:52
瀚海源算是不错的了
大象 11:36:52
抄概念呗,市场也要,所以差不多就能忽悠客户
phrack 11:37:40
而且这里面有个悖论,apt中的P指的是持久,如果一开始就被发现,怎么确定这个威胁是apt呢
yy 11:38:39
p指的是以持久为目的吧
phrack 11:38:56
持久也是手段吧
perlish 11:39:24
phrack这个观点我支持
小诚(luoye) 11:39:45
apt这种忽悠东西,唉
phrack 11:41:37
如果技术高明就算apt,那零日是不是都算apt了?
Jesus 11:41:59
没xday的攻击被定义为apt吗
perlish 11:42:04
而且apt不见得就用了多牛逼的0day
coolmarke 11:43:31
天下武功出少林的境界我辈是很难理解的,但是咱们国内的确有高人找到了某种类型漏洞形成的特点或共同点,总结出了一套理论,如果该APT产品是依据该理论做出来的,那应该有点谱吧
phrack 11:43:54
理论能公开吗
coolmarke 11:44:01
估计不会
coolmarke 11:44:12
但能看到些影子
游客 11:44:13
SOC算不算APT的监控防护?
coolmarke 11:44:19
不算
游客 11:44:29
为什么
游客 11:44:37
怎么理解不算呢
小诚(luoye) 11:44:51
欢乐
phrack 11:44:53
soc2.0算吧
phrack 11:45:07
要不就3.0
游客 11:45:35
应该算是一种安全监控防护吧
perlish 11:45:36
游客: 11:44:13
SOC算不算APT的监控防护?
phrack 11:45:45
再怎么着也离不开日志分析吧
coolmarke 11:45:48
可能理解不同吧
perlish 11:46:17
APT的防御体系有几部分组成:
1、终端检测
2、网络检测
3、日志审计
4、蜜罐
coolmarke 11:46:19
我理解SOC更多偏向IT运维
游客 11:46:22
如果SOC都不算APT的监控防护,那SOC的卖点是什么呢
perlish 11:46:54
星云的是网络检测里的一部分
perlish 11:47:03
检测溢出行为的
perlish 11:47:17
准确的说是检测漏洞攻击行为的
小诚(luoye) 11:47:24
apt这忽悠东西。。。
Jesus 11:47:34
扯淡
冰魄寒刀 11:47:36
soc做事件的关联,分析的事件发生后的状态
perlish 11:47:38
我要发个加了密码的exe给你,然后让你执行
Jesus 11:47:45
APT怎么又变态忽悠了
Jesus 11:47:47
????
Jesus 11:47:48
变成
phrack 11:48:00
发生之前你就能知道?
yy 11:48:21
痛过才知刀锋呀
Jesus 11:48:25
刚开了一早上会,针对境外对中国的XXOO
游客 11:48:31
SOC不能在之前检测?
游客 11:48:40
不能事前检测?
yy 11:48:46
应该是能预测吧
冰魄寒刀 11:48:51
soc本身就是个平台
小诚(luoye) 11:48:53
旁注算apt么
yy 11:49:01
就像状态检测防火墙
coolmarke 11:49:03
APT产品不能轻易的说人家忽悠,十年前人家还说IDS是大忽悠呢,现在不照样在各种公司跑的风雨无阻
xxr00t 11:49:11
现在全是soc
冰魄寒刀 11:49:39
前段时间去客户那边交流,都吵吵的上soc
游客 11:49:50
我没搞过SOC,不了解卖点在哪里,想问问大家高手
xxr00t 11:49:55
我也遇到了,
phrack 11:50:19
安全日志关联分析?
coolmarke 11:50:46
我这里运行SOC一年多了,我只想说SOC这玩意玩的就是你团队的整体素质,不然的话还是慎重
冰魄寒刀 11:50:47
私下一问,主要原因是因为soc上了,有气派,各种大屏显示,数据滚动,balala...........其实是为了迎合上级领导检查,有面子........
xxr00t 11:50:56
其实个人感觉soc可以把IT运维的环节显示出来,如果可以把效果放在大屏上,领导看看,呵呵
xxr00t 11:51:09
就不会说IT人员,光花钱了
coolmarke 11:51:36
楼上两位正解
phrack 11:51:39
说的高级点叫安全态势感知
冰魄寒刀 11:51:44
没有水平较高的人员,上了这东西一点用处都没有
phrack 11:52:00
对甲方运维人员要求极高
游客 11:52:17
高到什么层度
phrack 11:52:21
乙方没有给力的服务根本搞不动
冰魄寒刀 11:52:28
上周碰到客户,买了攻防沙盘,结果问我怎么用.........
phrack 11:52:32
高到不可能的程度
srxh2013 11:52:33
高到基本上你能抓出APT
yy 11:52:56
所以,安全这玩意,还是自发的才好
xxr00t 11:52:57
攻防沙盘??还有买这个的?钱多了吧
phrack 11:52:59
想想谁能看懂所有的日志
yy 11:52:59
要有自我意识
游客 11:53:02
这玩意看来是趋势
staryang01 11:53:09
apt啥意思啊
srxh2013 11:53:22
沙盘这玩意还真的有市场
srxh2013 11:53:31
培训啥的管用啊
phrack 11:53:36
看都看不懂日志关联个屁
冰魄寒刀 11:53:46
沙盘有些部门还是用的上的
THE.END 11:54:07
想关联很难 涉及到很多设备 很难标准化
xxr00t 11:54:09
那是要有规模的了
coolmarke 11:54:30
是的,理论上说如果你团队里面都是些牛人,什么ATP防护可以无视了,用SOC甚至你主导厂家给你量身定做开发的SOC可以抓出APT了
srxh2013 11:54:33
所以SOC现在就纯粹的日志收集了
phrack 11:54:36
soc这个东西还是卖服务靠谱点
xxr00t 11:54:37
关联设备的话,看日志是个问题
xxr00t 11:55:40
要是有个日志分析工具懒人版的就好了
游客 11:55:41
我听前面的说,SOC可以在大屏显示,是吗
srxh2013 11:56:05
啥玩意都可以大屏显示
THE.END 11:56:14
都是糊弄鬼的。。。
srxh2013 11:56:18
你要有钱的话还可以在IPAD的上面显示
游客 11:56:28
我知道啥玩意都行
coolmarke 11:56:45
我这里50多W买的SOC还扔在这里,别的不说,SOC检查到事件了,你团队有能力处理吗?没能力处理SOC有什么用?解决不了问题你发现问题有毛用
phrack 11:56:46
不过美国人也是这个路数,现在最热的就是持续性监控项目
xxr00t 11:57:16
后台就是大数据。。
冰魄寒刀 11:57:35
都在玩概念,其中最出名的就是IBM智慧的地球
srxh2013 11:57:38
转来转去又到了大数据
phrack 11:57:46
要把海量日志归纳为管理人员方便看的指标
游侠观点:
从APT讨论到了SOC,其实还就是因为SOC在攻击溯源、分析方面的便捷性,但能从上文看出,SOC,目前在国内基本也就停留在日志管理的维度上……
另外:SOC很贵,如果没有一个真正玩得转的,毛毛钱的话费都是浪费。游侠拜访的客户里面,有N家花了上百万买SOC的,现在都在那扔着。